Zasady Walki RODO

poniedziałek, 6 kwietnia 2026

Pismo kandydata kiedy rekruter nie prześle mu notatek z rozmowy oraz informacji o przyczynach nie wybrania go w procesie rekrutacji

Wielu kandydatów pyta o notatki z rozmów i powody odrzucenia, a rekruterzy często odpowiadają, że to „informacje wewnętrzne” lub że „RODO nie daje prawa do poznania powodów decyzji”.

Zanim pokażę wzór pisma, krótkie wyjaśnienie, dlaczego rekruter może odmówić i jak kandydat może na to zareagować skutecznie i rzeczowo 👇

🔎 Kontekst prawny – co mówi RODO

Art. 15 RODO daje kandydatowi prawo do dostępu do danych osobowych – a nie do wszystkich informacji „o nim” sensu largo (łac. w szerokim znaczeniu).
Oznacza to, że kandydat może żądać kopii danych osobowych, np. notatek, jeśli zawierają dane o nim (oceny, opinie, spostrzeżenia).
Rekruter może jednak usunąć lub zanonimizować fragmenty, które ujawniałyby dane innych osób albo elementy poufne procesu (np. wewnętrzne kryteria oceny, strategie rozmowy).

👉 Przyczyny niezakwalifikowania – to nie zawsze dane osobowe, ale jeśli np. w notatkach jest zapis: „brak doświadczenia w zarządzaniu zespołem” lub „słaba znajomość angielskiego” — to są dane osobowe, bo odnoszą się do osoby.
W takim przypadku kandydat może domagać się ich udostępnienia.

🧾 WZÓR PISMA – żądanie uzupełnienia odpowiedzi z art. 15 RODO

Miejscowość, data

[Imię i nazwisko kandydata]
[adres e-mail / adres korespondencyjny]

Do:

[nazwa firmy / administratora danych]

[adres / e-mail]

Wniosek o uzupełnienie informacji udzielonych w odpowiedzi na żądanie z art. 15 RODO

Szanowni Państwo,

dziękuję za udzielenie odpowiedzi na mój wniosek z dnia [data pierwszego wniosku] dotyczący dostępu do moich danych osobowych na podstawie art. 15 RODO.

Po zapoznaniu się z przesłaną informacją zauważyłem(am), że nie otrzymałem(am) kopii notatek z rozmowy rekrutacyjnej ani informacji dotyczących powodów niezakwalifikowania mnie do dalszego etapu rekrutacji.

Zgodnie z art. 15 ust. 1 i 3 RODO, prawo dostępu obejmuje nie tylko dane przekazane bezpośrednio przeze mnie, lecz również wszystkie dane osobowe, które Państwo wytworzyli lub utrwalili w toku przetwarzania — w tym oceny, opinie i inne informacje odnoszące się do mojej osoby.

W związku z tym uprzejmie proszę o:

przekazanie kopii notatek lub innych wewnętrznych dokumentów rekrutacyjnych zawierających dane osobowe na mój temat (np. oceny, komentarze, podsumowania rozmowy),
wskazanie — w sposób zrozumiały — głównych powodów decyzji o niezakwalifikowaniu mnie do dalszego etapu rekrutacji, o ile informacje te zostały utrwalone w dokumentacji procesu.

Jeżeli część informacji wymaga anonimizacji ze względu na prawa innych osób, proszę o ich udostępnienie w odpowiednio zanonimizowanej formie.

Z poważaniem,

[podpis – jeśli wysyłane w formie papierowej]

[imię i nazwisko]

💡 Dodatkowe uwagi praktyczne:

Warto w piśmie nie używać tonu roszczeniowego, tylko powołać się spokojnie na art. 15 ust. 3 RODO i orzecznictwo (np. wyrok TSUE z 4.05.2023 r., C-487/21), które potwierdza, że notatki rekrutacyjne mogą być danymi osobowymi.
Rekruter może odpowiedzieć np.:

„Nie przekazujemy notatek, ponieważ zawierają dane innych osób lub informacje objęte tajemnicą przedsiębiorstwa.”
Wtedy kandydat nie musi ponownie poprosić o wersję zanonimizowaną ponieważ już to zrobił w piśmie a rekruter ma obowiązek znać przepisy lepiej od ciebie. Dalsze bawienie się w pisma już nic nie zmieni i można całość zgłosić do UODO zgodnie z ich procedurą link: https://uodo.gov.pl/pl/526/2464

sobota, 4 kwietnia 2026

KLAUZULA INFORMACYJNA – CHATBOT (AI) NA STRONIE INTERNETOWEJ

KLAUZULA INFORMACYJNA – CHATBOT (AI) NA STRONIE INTERNETOWEJ

Administrator danych
Administratorem Twoich danych osobowych jest [NAZWA FIRMY] z siedzibą w [ADRES], kontakt: [E-MAIL].
Inspektor ochrony danych (jeśli dotyczy)
W sprawach związanych z ochroną danych osobowych możesz kontaktować się z Inspektorem Ochrony Danych pod adresem: [E-MAIL IOD].
Cele i podstawy przetwarzania danych
Twoje dane osobowe przetwarzane są w celu:

obsługi zapytań kierowanych za pośrednictwem chatbota,
udzielania odpowiedzi i wsparcia użytkownika,
poprawy jakości obsługi oraz analizy komunikacji.

Dane są przetwarzane z wykorzystaniem narzędzia opartego na sztucznej inteligencji (chatbot).

Podstawą prawną przetwarzania jest:

art. 6 ust. 1 lit. b RODO (podjęcie działań przed zawarciem umowy lub realizacja umowy),
art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora polegający na zapewnieniu sprawnej komunikacji i obsługi użytkowników),
[opcjonalnie: art. 6 ust. 1 lit. a RODO – zgoda, jeśli zbierasz ją np. marketingowo].

Zakres przetwarzanych danych
Przetwarzamy dane przekazane dobrowolnie w trakcie rozmowy, w szczególności:

imię (jeśli podane),
adres e-mail lub inne dane kontaktowe,
treść wiadomości i zapytań,
dane techniczne (np. adres IP, identyfikator sesji, informacje o przeglądarce).

Zautomatyzowane przetwarzanie i AI
Rozmowy mogą być obsługiwane automatycznie przez chatbot (AI).
Odpowiedzi są generowane automatycznie na podstawie wprowadzonych danych.

Co do zasady, przetwarzanie to:

nie prowadzi do podejmowania decyzji wywołujących skutki prawne wobec użytkownika.

[Jeśli inaczej – należy to opisać i rozbudować ten punkt.]

Odbiorcy danych
Dane mogą być przekazywane:

dostawcom systemów IT oraz narzędzi chatbot/AI,
podmiotom wspierającym obsługę klienta,
firmom hostingowym.

Przekazywanie danych poza EOG
W związku z korzystaniem z narzędzi AI, dane mogą być przekazywane poza Europejski Obszar Gospodarczy (np. do USA).
W takim przypadku stosujemy odpowiednie zabezpieczenia, w tym standardowe klauzule umowne.
Okres przechowywania danych
Dane będą przechowywane przez okres niezbędny do obsługi zapytania, a następnie przez czas potrzebny do zabezpieczenia ewentualnych roszczeń lub poprawy jakości usług.
Prawa użytkownika
Przysługuje Ci prawo do:

dostępu do danych,
ich sprostowania,
usunięcia,
ograniczenia przetwarzania,
sprzeciwu wobec przetwarzania.

Prawo do skargi
Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych
Podanie danych jest dobrowolne, jednak niezbędne do skorzystania z chatbota.

WAŻNE
Prosimy o nieprzekazywanie za pośrednictwem chatbota informacji wrażliwych (np. danych dotyczących zdrowia), chyba że jest to konieczne i odpowiednio zabezpieczone.

🧠 Pro tip (praktyka wdrożeniowa)

Dobrze dorzucić przy chatbocie krótki komunikat typu:

👉 „Rozmowa może być obsługiwana przez AI. Nie podawaj danych wrażliwych.”

Kierownik, który nieświadomie staje się administratorem danych

Kierownik, który nieświadomie staje się administratorem danych
– najczęstszy (i najbardziej niebezpieczny) błąd w organizacjach

„To tylko decyzja operacyjna…”
„Zarząd nie musi o tym wiedzieć…”
„Tak będzie szybciej…”

I właśnie w tym momencie zaczyna się problem.

❗ Kiedy kierownik „wchodzi w buty” administratora?

Zgodnie z RODO nie liczy się stanowisko.
Liczy się to, kto faktycznie decyduje.

👉 Jeśli kierownik:
✔ sam określa cele przetwarzania (PO CO)
✔ sam wybiera sposoby (JAK)
✔ działa bez wiedzy / kontroli zarządu

to może się okazać, że:

💥 nie jest już tylko pracownikiem
💥 tylko staje się… administratorem danych (de facto)

⚖️ Dlaczego to jest tak groźne?

Bo znika „parasol ochronny” pracownika.

W praktyce pojawia się równoległa odpowiedzialność:

👉 organizacja
– za brak nadzoru, procedur, kontroli

👉 kierownik
– za działanie bez umocowania
– za faktyczne decyzje dotyczące danych

🔥 Najczęstszy scenariusz

Kierownik:
➡ wdraża nowe narzędzie / proces
➡ zmienia sposób przetwarzania danych
➡ „upraszcza” procedury

Zarząd:
➡ nic o tym nie wie

A potem:
📩 incydent
📩 skarga
📩 kontrola

I nagle pytanie nie brzmi:
„kto formalnie odpowiada?”

Tylko:
👉 kto faktycznie decydował

💡 Wniosek dla organizacji

RODO to nie tylko dokumenty.
To realny nadzór nad decyzjami operacyjnymi.

Jeśli go nie ma:
❗ kierownicy zaczynają działać „na własną rękę”
❗ a odpowiedzialność rozlewa się na wszystkich

🧠 Wniosek dla kierowników

Jeśli:
➡ decydujesz „po co” i „jak” przetwarzać dane
➡ bez jasnego umocowania

to ryzyko jest większe, niż myślisz.

RODO nie patrzy na strukturę organizacyjną.
RODO patrzy na rzeczywistość.

Jak to wygląda u Was?
Czy decyzje o danych są faktycznie kontrolowane, czy dzieją się „po cichu”?

poniedziałek, 30 marca 2026

IOD jako punkt kontaktowy

🛡️ AUDYT: IOD jako punkt kontaktowy (art. 39 ust. 1 lit. e RODO (Rozporządzenie 2016/679))

🔢 Jak korzystać z arkusza

Każde pytanie oceń:

0 pkt – brak / nie istnieje
1 pkt – częściowo wdrożone / działa nieformalnie
2 pkt – w pełni wdrożone i działa w praktyce

📋 SEKCJA 1: Dostępność i widoczność IOD (max 6 pkt)

☐ Czy dane kontaktowe IOD są publicznie dostępne (www, polityka prywatności)?
☐ Czy kontakt jest bezpośredni (np. dedykowany e-mail, nie formularz ogólny)?
☐ Czy komunikacja do IOD jest łatwa i intuicyjna dla użytkownika?

Ryzyko przy niskim wyniku:
➡️ utrudnianie realizacji praw osób (naruszenie RODO)
➡️ skargi do Urząd Ochrony Danych Osobowych

📋 SEKCJA 2: Obsługa organu nadzorczego (max 8 pkt)

☐ Czy IOD jest formalnie zgłoszony do UODO?
☐ Czy istnieje procedura obsługi kontroli / zapytań organu?
☐ Czy wiadomo, kto zbiera dane do odpowiedzi?
☐ Czy IOD koordynuje odpowiedzi (a nie tylko przekazuje dalej)?

Ryzyko:
➡️ chaos komunikacyjny przy kontroli
➡️ niespójne lub błędne odpowiedzi
➡️ zwiększone ryzyko kary

📋 SEKCJA 3: Obsługa żądań osób (DSAR) (max 10 pkt)

☐ Czy istnieje formalna procedura obsługi żądań (art. 15–22)?
☐ Czy IOD nadzoruje realizację żądań?
☐ Czy firma kontroluje termin niezwłocznie ale nie dłużej niż 1 miesiąc?
☐ Czy istnieje proces weryfikacji tożsamości?
☐ Czy pracownicy wiedzą, gdzie przekazać żądanie?

Ryzyko:
➡️ naruszenie praw osób fizycznych
➡️ przekroczenie terminów
➡️ bezpośrednie skargi i postępowania

📋 SEKCJA 4: Centralizacja komunikacji (max 6 pkt)

☐ Czy wszystkie sprawy dot. danych trafiają do IOD?
☐ Czy istnieje jeden punkt wejścia (mail / system)?
☐ Czy zapytania są rejestrowane i śledzone?

Ryzyko:
➡️ „rozproszone RODO” w organizacji
➡️ brak kontroli nad komunikacją
➡️ utrata informacji

📋 SEKCJA 5: Obieg informacji wewnętrznej (max 8 pkt)

☐ Czy są zdefiniowane osoby kontaktowe w działach (IT, HR, marketing)?
☐ Czy IOD ma szybki dostęp do informacji?
☐ Czy istnieją ustalone ścieżki komunikacji?
☐ Czy działy współpracują z IOD w praktyce?

Ryzyko:
➡️ opóźnienia odpowiedzi
➡️ błędne dane przekazywane do organu/osób
➡️ brak kontroli nad procesami

📋 SEKCJA 6: Incydenty (naruszenia) (max 8 pkt)

☐ Czy pracownicy wiedzą, że incydent zgłasza się do IOD?
☐ Czy istnieje procedura obsługi naruszeń?
☐ Czy IOD koordynuje komunikację przy incydencie?
☐ Czy firma potrafi podjąć decyzję w 72h?

Ryzyko:
➡️ brak zgłoszenia naruszenia
➡️ opóźnienia → wysokie kary
➡️ chaos komunikacyjny

📋 SEKCJA 7: Pozycja i niezależność IOD (max 8 pkt)

☐ Czy IOD ma dostęp do zarządu?
☐ Czy nie ma konfliktu interesów?
☐ Czy IOD jest angażowany w nowe projekty?
☐ Czy ma realny wpływ na decyzje?

Ryzyko:
➡️ IOD „na papierze”
➡️ brak realnej funkcji punktu kontaktowego
➡️ naruszenie zasady niezależności

📋 SEKCJA 8: Dokumentacja i dowody (max 6 pkt)

☐ Czy firma dokumentuje zapytania i odpowiedzi?
☐ Czy istnieje rejestr komunikacji z organem/osobami?
☐ Czy można wykazać działania IOD (rozliczalność)?

Ryzyko:
➡️ brak dowodów zgodności (3+4+)
➡️ problem w trakcie kontroli

🧮 SCORING KOŃCOWY

Maksymalnie: 60 punktów

🟢 50–60 pkt → NISKI POZIOM RYZYKA

IOD realnie pełni funkcję punktu kontaktowego
system działa operacyjnie

👉 Rekomendacja: optymalizacja i automatyzacja

🟡 30–49 pkt → ŚREDNI POZIOM RYZYKA

funkcja istnieje, ale ma luki
możliwe problemy przy kontroli lub incydencie

👉 Rekomendacja: ustandaryzowanie procesów + szkolenia

🔴 0–29 pkt → WYSOKIE RYZYKO

funkcja punktu kontaktowego jest pozorna
duże ryzyko naruszeń i sankcji

👉 Rekomendacja: pilne wdrożenie procedur i centralizacji

🔥 BONUS: Szybki test „reality check”

Jeśli choć jedno z poniższych = NIE → realne ryzyko:

☐ Czy każda skarga trafia do IOD?
☐ Czy firma odpowie UODO w 48h?
☐ Czy pracownik wie, co zrobić z żądaniem RODO?

niedziela, 29 marca 2026

Kandydat zażądał usunięcia danych w trakcie rekrutacji

🔴 Kandydat zażądał usunięcia danych w trakcie rekrutacji. Firma… spanikowała.

Case z życia (HR + RODO + AI):

Ekspert aplikuje przez portal pracy.
Jego CV zostaje wstępnie przeanalizowane przez AI.
Dane trafiają do firmy → 3 osoby → a potem dalej „w świat” (kolejne 1–4 osoby każda, klasyczny forwarding maili).

I nagle 💥
kandydat korzysta z prawa do bycia zapomnianym z RODO.

Co poszło nie tak?

❌ 5 błędów, które widzę najczęściej w takich sytuacjach:

1️⃣ „Rozsyłanie CV mailem, bo szybciej”
Efekt: brak kontroli nad tym, kto ma dane i gdzie one są.

2️⃣ Brak mapy przepływu danych
Nikt nie wie, do ilu osób finalnie trafiły dane kandydata.

3️⃣ Brak procedury na żądania RODO
Zespół nie wie:
– kto odpowiada,
– co usuwać,
– w jakiej kolejności działać.

4️⃣ AI bez refleksji
Dane przeszły przez narzędzie AI… ale:
– czy dostawca jest procesorem czy administratorem?
– czy dane trafiły do trenowania modeli?

5️⃣ Zero zasady minimalizacji
Zamiast 2 decydentów → 10 osób „do opinii”.

✅ Jak to powinno wyglądać (w skrócie):

✔️ zatrzymujesz proces dla kandydata
✔️ identyfikujesz wszystkie miejsca, gdzie są dane (HR, maile, pliki)
✔️ usuwasz dane (z wyjątkami np. pod roszczenia)
✔️ informujesz wszystkie osoby, które dostały CV
✔️ dokumentujesz działania
✔️ odpowiadasz kandydatowi (max 1 miesiąc)

📌 Najważniejsza lekcja?

RODO to nie jest „papierologia”.
To test operacyjny procesów w firmie.

Bo kiedy przychodzi realne żądanie:
➡️ wychodzi, czy masz kontrolę nad danymi…
➡️ czy tylko Ci się wydaje, że masz.

💡 Pro tip dla HR i IT:

Zamiast rozsyłać CV:
👉 używaj ATS z nadawaniem dostępów
👉 ogranicz liczbę osób w procesie
👉 miej gotową procedurę „co robimy, gdy ktoś żąda usunięcia danych”

Spotkałeś się z taką sytuacją u siebie?
Jak Twoja firma poradziła sobie z żądaniem usunięcia danych w trakcie rekrutacji?

poniedziałek, 16 marca 2026

Czy lekarz może zrobić zdjęcie dokumentacji pacjenta telefonem?

To pytanie pojawia się bardzo często w audytach bezpieczeństwa w podmiotach leczniczych.
Odpowiedź brzmi: co do zasady – nie powinien, chyba że spełnione są bardzo konkretne warunki organizacyjne i prawne.

Podstawą oceny jest Rozporządzenie (UE) 2016/679 (RODO) oraz przepisy dotyczące prowadzenia dokumentacji medycznej.

1. Dlaczego robienie zdjęcia dokumentacji jest problematyczne?

Dokumentacja medyczna zawiera szczególną kategorię danych osobowych (dane o zdrowiu).

Zdjęcie wykonane prywatnym telefonem powoduje powstanie niekontrolowanej kopii danych, nad którą podmiot leczniczy często traci kontrolę.

Najczęstsze ryzyka:

zapis zdjęcia w prywatnej galerii telefonu
automatyczna synchronizacja z chmurą (np. Google Photos, iCloud)
możliwość przesłania zdjęcia przez komunikatory
brak kontroli nad dalszym przetwarzaniem danych

W praktyce oznacza to naruszenie zasady integralności i poufności danych.

2. Kiedy takie działanie może być uzasadnione?

W wyjątkowych sytuacjach zdjęcie dokumentacji może być dopuszczalne, jeżeli:

✔ jest to niezbędne do udzielenia świadczenia zdrowotnego
✔ odbywa się w ramach systemu informatycznego podmiotu
✔ telefon jest służbowym urządzeniem zarządzanym przez placówkę
✔ zdjęcie trafia bezpośrednio do systemu EDM
✔ obowiązuje procedura bezpieczeństwa

Przykład:

dokumentacja musi być natychmiast przesłana do specjalisty konsultującego przypadek,
zdjęcie wykonywane jest służbowym urządzeniem w aplikacji medycznej.

3. Kiedy jest to naruszenie RODO?

Najczęściej spotykane przypadki naruszeń w audytach:

❌ zdjęcie dokumentacji prywatnym telefonem
❌ przesłanie zdjęcia przez komunikator (np. WhatsApp)
❌ przechowywanie zdjęć w prywatnej galerii
❌ brak zgody i procedury w placówce

W takich sytuacjach może dojść do naruszenia ochrony danych osobowych.

4. Jak powinna wyglądać dobra praktyka w szpitalu?

Podmiot leczniczy powinien jasno określić w procedurach:

✔ zakaz fotografowania dokumentacji prywatnymi urządzeniami
✔ korzystanie wyłącznie z systemów EDM
✔ używanie służbowych urządzeń mobilnych
✔ szkolenia personelu medycznego

Wniosek

📌 Lekarz nie powinien wykonywać zdjęć dokumentacji pacjenta prywatnym telefonem.

Może to być dopuszczalne tylko wtedy, gdy:

jest to niezbędne w procesie leczenia
odbywa się w ramach systemu podmiotu leczniczego
wykorzystywane jest zabezpieczone urządzenie służbowe.

sobota, 14 marca 2026

Praktyczna, „nieprzeładowana” lista dokumentów RODO dla usługi manikiurzystki / salonu manicure

Branża BEAUTY ma więcej danych wrażliwych niż się wydaje, więc taka lista bardzo się przydaje 👍
Poniżej masz praktyczną, „nieprzeładowaną” listę dokumentów RODO dla usługi manikiurzystki / salonu manicure zatrudniającego do 5 pracowników, z monitoringiem i systemem online do rezerwacji wizyt.

1. Dokumenty obowiązkowe – fundament RODO

1.1. Rejestr czynności przetwarzania (RCzP) danych osobowych

Powinien obejmować co najmniej:

klientki (wizyty, kontakt, historia zabiegów),
rezerwacje online,
pracowników,
monitoring wizyjny,
kontrahentów (księgowość, IT).

📌 Nawet przy 1–5 osobach RCzP jest wymagany, bo przetwarzanie jest ciągłe i zorganizowane.

1.2. Klauzule informacyjne (art. 13 RODO)

Oddzielne klauzule dla:

klientek (na miejscu + online),
systemu rezerwacji wizyt,
pracowników,
kandydatów do pracy,
monitoringu.

📌 Klauzula dla klientek powinna uwzględniać:

dane kontaktowe,
historię wizyt,
ewentualne uwagi dot. zdrowia (np. alergie).

1.3. Upoważnienia do przetwarzania danych

Dla:

manikiurzystek,
recepcji (jeśli jest),
właścicielki salonu (jeżeli też realizuje usługi).

ewidencja upoważnień (kto, od kiedy, do czego) lub Teczkę z pierwszymi egzemplarzami).

1.4. Umowy powierzenia danych

Obowiązkowe przy:

systemie rezerwacji online,
firmie IT / serwerach,
biurze rachunkowym,
firmie obsługującej monitoring (jeśli zewnętrzna).

📌 Brak umowy powierzenia = klasyczny błąd salonów beauty.

2. Monitoring – dokumenty konieczne

2.1. Regulamin monitoringu wizyjnego

Powinien zawierać:

cel monitoringu (bezpieczeństwo, mienie),
zakres kamer,
czas przechowywania nagrań,
osoby upoważnione do dostępu.

2.2. Oznaczenie monitoringu + klauzula informacyjna

widoczne piktogramy kamer,
klauzula RODO przy wejściu lub recepcji.

📌 Monitoring nie może obejmować:

toalety,
zaplecza socjalnego,
miejsc przebierania.

3. Dokumenty organizacyjne i bezpieczeństwa

3.1. Polityka ochrony danych osobowych

Jedna, prosta polityka opisująca:

jakie dane są zbierane,
gdzie są przechowywane (system, papier),
kto ma dostęp,
jak są zabezpieczone (hasła, zamknięcia).

📌 W małym salonie 10–12 stron w zupełności wystarczy.

3.2. Analiza ryzyka

Uwzględniająca m.in.:

system rezerwacji online,
dostęp pracowników do danych klientek,
monitoring,
dokumentację papierową,
urządzenia mobilne.

3.3. Procedura naruszeń danych

Na wypadek:

włamania do systemu rezerwacji,
zgubienia telefonu służbowego,
ujawnienia danych klientki.

Kto decyduje o:

zgłoszeniu do UODO,
poinformowaniu klientów.

3.4. Procedura realizacji praw osób

Jak salon reaguje na:

prośbę o dostęp do danych,
usunięcie danych po zakończeniu usług,
sprzeciw wobec monitoringu (jeśli możliwy).

4. Dokumenty specyficzne dla branży beauty

4.1. Zgody – tylko jeśli faktycznie potrzebne

Np.:

zgoda na zdjęcia stylizacji (social media),
zgoda marketingowa (SMS, e-mail).

📌 Usługa manicure nie wymaga zgody na przetwarzanie danych – podstawą jest umowa.

4.2. Zasady retencji danych

Określenie:

jak długo dane klientek są przechowywane,
kiedy są usuwane z systemu,
kiedy niszczone są dokumenty papierowe.

5. Czego nie trzeba w takim salonie

❌ Inspektora Ochrony Danych (IOD)
❌ OSOD (DPIA →oceny skutków) – monitoring standardowy jej nie wymaga
❌ Rozbudowanych polityk korporacyjnych
❌ Zgód „na wszystko”

6. Checklista – w skrócie ✅

Salon manicure do 5 osób powinien mieć:

✔ Rejestr czynności przetwarzania
✔ Klauzule informacyjne (klientki, monitoring, online)
✔ Upoważnienia + ewidencję
✔ Umowy powierzenia (system rezerwacji!)
✔ Politykę ochrony danych
✔ Analizę ryzyka
✔ Procedury: naruszenia + prawa osób
✔ Regulamin monitoringu